序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁����,我們?yōu)槟x了8篇的網(wǎng)絡安全技術(shù)樣本�����,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀�。
第1篇
關(guān)鍵詞:網(wǎng)絡安全 防火墻 技術(shù)特征
1.概述
21世紀全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化�。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在�����。當人類步入21世紀這一信息社會�、網(wǎng)絡社會的時候,我國將建立起一套完整的網(wǎng)絡安全體系����,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡安全體系。
一個國家的信息安全體系實際上包括國家的法規(guī)和政策����,以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時����,應著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡安全問題�����,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡安全技術(shù)的整體提高���。
網(wǎng)絡安全產(chǎn)品有以下幾大特點:第一���,網(wǎng)絡安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了�;第二,網(wǎng)絡的安全機制與技術(shù)要不斷地變化����;第三,隨著網(wǎng)絡在社會個方面的延伸�,進入網(wǎng)絡的手段也越來越多,因此�����,網(wǎng)絡安全技術(shù)是一個十分復雜的系統(tǒng)工程�����。為此建立有中國特色的網(wǎng)絡安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)����。安全與反安全就像矛盾的兩個方面�,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)����。
信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題�,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上�����、產(chǎn)業(yè)上���、政策上來發(fā)展它����。政府不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分����,而且應該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應該看到它對我國未來電子化����、信息化的發(fā)展將起到非常重要的作用。
2.防火墻
網(wǎng)絡防火墻技術(shù)是一種用來加強網(wǎng)絡之間訪問控制���,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡����,訪問內(nèi)部網(wǎng)絡資源�����,保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備����。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡之間的通信是否被允許���,并監(jiān)視網(wǎng)絡運行狀態(tài)�����。
目前的防火墻產(chǎn)品主要有堡壘主機�����、包過濾路由器����、應用層網(wǎng)關(guān)(服務器)以及電路層網(wǎng)關(guān)����、屏蔽主機防火墻、雙宿主機等類型����。
雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊���,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅�,也不能完全防止傳送已感染病毒的軟件或文件�,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)�����,提出了防火墻概念后���,防火墻技術(shù)得到了飛速的發(fā)展����。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。
防火墻處于5層網(wǎng)絡安全體系中的最底層����,屬于網(wǎng)絡層安全技術(shù)范疇。在這一層上�,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡層采取相應的防范措施�����。
作為內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障�,防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看�����,防火墻處于網(wǎng)絡安全的最底層�����,負責網(wǎng)絡間的安全認證與傳輸�����,但隨著網(wǎng)絡安全技術(shù)的整體發(fā)展和網(wǎng)絡應用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次���,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網(wǎng)絡應用提供相應的安全服務。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展����。
根據(jù)防火墻所采用的技術(shù)不同�,我們可以將它分為四種基本類型:包過濾型�、網(wǎng)絡地址轉(zhuǎn)換—NAT、型和監(jiān)測型。
2.1.包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡中的分包傳輸技術(shù)���。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息�����,如數(shù)據(jù)的源地址、目標地址�����、TCP/UDP源端口和目標端口等����。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點
�����,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包���,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。
包過濾技術(shù)的優(yōu)點是簡單實用���,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下���,能夠以較小的代價在一定程度上保證系統(tǒng)的安全�����。
但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡層的安全技術(shù)��,只能根據(jù)數(shù)據(jù)包的來源����、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入��,如惡意的Java小程序以及電子郵件中附帶的病毒��。有經(jīng)驗的黑客很容易偽造IP地址���,騙過包過濾型防火墻�����。
2.2.網(wǎng)絡地址轉(zhuǎn)化—NAT
網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的�����、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)����。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。
NAT的工作過程如圖1所示:
在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時����,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口��,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接���,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址��。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時����,它并不知道內(nèi)部網(wǎng)絡的連接情況����,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全���。當符合規(guī)則時���,防火墻認為訪問是安全的���,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中��。當不符合規(guī)則時�����,防火墻認為該訪問是不安全的���,不能被接受��,防火墻將屏蔽外部的連接請求�����。網(wǎng)絡地址轉(zhuǎn)換的過程對于用戶來說是透明的���,不需要用戶進行設置,用戶只要進行常規(guī)操作即可��。
2.3.型
型防火墻也可以被稱為服務器����,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展��。服務器位于客戶機與服務器之間�����,完全阻擋了二者間的數(shù)據(jù)交流���。從客戶機來看�����,服務器相當于一臺真正的服務器;而從服務器來看����,服務器又是一臺真正的客戶機����。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務器����,服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)��,然后再由服務器將數(shù)據(jù)傳輸給客戶機����。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道���,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)���。
型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描����,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響��,而且服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置����,大大增加了系統(tǒng)管理的復雜性。
2.4.監(jiān)測型
監(jiān)測型防火墻是新一代的產(chǎn)品��,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義���。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的���、實時的監(jiān)測����,在對這些數(shù)據(jù)加以分析的基礎上���,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時�����,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器���,這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中����,不僅能夠檢測來自網(wǎng)絡外部的攻擊����,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計��,在針對網(wǎng)絡系統(tǒng)的攻擊中��,有相當比例的攻擊來自網(wǎng)絡內(nèi)部。因此���,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義���,而且在安全性上也超越了前兩代產(chǎn)品
第2篇
關(guān)鍵詞:網(wǎng)絡;防火墻�����;黑客���;RSA算法
一���、引言
計算機網(wǎng)絡的廣泛應用已經(jīng)對經(jīng)濟、文化����、教育、科技的發(fā)展產(chǎn)生了重要影響����,許多重要的信息、資源都與網(wǎng)絡相關(guān)?�?陀^上���,幾乎沒有一個網(wǎng)絡能夠免受安全的困擾����。依據(jù)FinancialTimes曾經(jīng)做過的統(tǒng)計���,平均每20秒鐘就有一個網(wǎng)絡遭到入侵��,而安全又是網(wǎng)絡發(fā)展的根本。尤其是在信息安全產(chǎn)業(yè)領(lǐng)域���,其固有的敏感性和特殊性�����,直接影響著國家的安全利益和經(jīng)濟利益��。因此����,在網(wǎng)絡化����、信息化進程不可逆轉(zhuǎn)的形勢下����,如何最大限度地減少或避免因信息泄漏����、破壞所造成的經(jīng)濟損失,是擺在我們面前亟需妥善解決的一項具有重大戰(zhàn)略意義的課題��。
二�����、網(wǎng)絡安全初步分析
(一)影響計算機網(wǎng)絡安全的因素
(1)網(wǎng)絡系統(tǒng)在穩(wěn)定性和可擴充性方面存在問題���。由于設計的系統(tǒng)不規(guī)范��、不合理以及缺乏安全性考慮���,因而使其受到影響;(2)網(wǎng)絡硬件的配置不協(xié)調(diào)��。一是文件服務器。它是網(wǎng)絡的中樞����,其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡系統(tǒng)的質(zhì)量����。網(wǎng)絡應用的需求沒有引起足夠的重視,設計和選型考慮欠周密��,從而使網(wǎng)絡功能發(fā)揮受阻�����,影響網(wǎng)絡的可靠性�����、擴充性和升級換代����。二是網(wǎng)卡因工作站選配不當而導致網(wǎng)絡不穩(wěn)定��;(3)缺乏安全策略����。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限����,忽視了這些權(quán)限可能會被其他人員濫用��;(4)訪問控制配置的復雜性��,容易導致配置錯誤��,從而給他人以可乘之機��;(5)管理制度不健全�����,網(wǎng)絡管理���、維護任其自然�����。
(二)網(wǎng)絡的開放性帶來的安全問題
Internet的開放性以及其他方面因素導致了網(wǎng)絡環(huán)境下的計算機系統(tǒng)存在很多安全問題���。為了解決這些安全問題��,各種安全機制���、策略和工具被研究和應用。然而�����,即使在使用了現(xiàn)有的安全工具和機制的情況下����,網(wǎng)絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點:(1)每一種安全機制都有一定的應用范圍和應用環(huán)境��;(2)安全工具的使用受到人為因素的影響���;(3)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方�����;(4)只要有程序,就可能存在BUG��。甚至連安全工具本身也可能存在安全的漏洞���;(5)黑客的攻擊手段在不斷地更新��,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)���。然而安全工具的更新速度太慢�����,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題�����,這就使得它們對新出現(xiàn)的安全問題總是反應太慢�����。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時����,其他的安全問題又出現(xiàn)了���。因此����,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊���。
(三)網(wǎng)絡安全的防護漏洞��,導致黑客在網(wǎng)上任意暢行
根據(jù)Warroon Research的調(diào)查�����,1997年世界排名前一千的公司幾乎都曾被黑客闖入���。據(jù)美國FBI統(tǒng)計,美國每年因網(wǎng)絡安全造成的損失高達75億美元��。Ernst和Young報告����,由于信息安全被竊或濫用,幾乎80%的大型企業(yè)遭受損失�����。
在最近一次黑客大規(guī)模的攻擊行動中���,雅虎網(wǎng)站的網(wǎng)絡停止運行3小時�����,這令它損失了幾百萬美金的交易����。而據(jù)統(tǒng)計在這整個行動中美國經(jīng)濟共損失了十多億美金�����。由于業(yè)界人心惶惶��,亞馬遜()����、AOL、雅虎(Yahoo?����。?����、eBay的股價均告下挫��,以科技股為主的那斯達克指數(shù)(Nasdaq)打破過去連續(xù)三天創(chuàng)下新高的升勢,下挫了六十三點����,杜瓊斯工業(yè)平均指數(shù)周三收市時也跌了二百五十八點?���?吹竭@些令人震驚的事件,不禁讓人們發(fā)出疑問:“網(wǎng)絡還安全嗎��?”����。
據(jù)不完全統(tǒng)計目前,我國網(wǎng)站所受到黑客的攻擊�����,還不能與美國的情況相提并論����,因為我們在用戶數(shù)、用戶規(guī)模上還都處在很初級的階段��。
三、網(wǎng)絡的安全管理
針對上述分析可以采取以下安全策略:采用漏洞掃描技術(shù)�����,對重要網(wǎng)絡設備進行風險評估���,保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。采用各種安全技術(shù)����,構(gòu)筑防御系統(tǒng),主要有:(1)防火墻技術(shù)����。在網(wǎng)絡的對外接口,采用防火墻技術(shù)����,在網(wǎng)絡層進行訪問控制;(2)NAT技術(shù)���。隱藏內(nèi)部網(wǎng)絡信息���;(3)VPN。虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸,通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個安全的私有鏈接。它通過安全的數(shù)據(jù)通道將遠程用戶����、公司分支機構(gòu)、公司業(yè)務伙伴等與公司的企業(yè)網(wǎng)連接起來��,構(gòu)成一個擴展的公司企業(yè)網(wǎng)���;(4)網(wǎng)絡加密技術(shù)(Ipsec)���。采用網(wǎng)絡加密技術(shù),對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝��,實現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄?����、完整性�����。它可解決網(wǎng)絡在公網(wǎng)的數(shù)據(jù)傳輸安全性問題���,也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題��;(5)認證���。提供基于身份的認證��,并在各種認證機制中可選擇使用���;(6)多層次、多級別的企業(yè)級的防病毒系統(tǒng)����。采用多層次多級別的企業(yè)級的防病毒系統(tǒng)���,對病毒實現(xiàn)全面的防護��;(7)網(wǎng)絡的實時監(jiān)測���。采用入侵檢測系統(tǒng),對主機和網(wǎng)絡進行監(jiān)測和預警�����,進一步提高網(wǎng)絡���。
四��、防火墻
(一)防火墻定義
防火墻是一個位于計算機和它所連接的網(wǎng)絡之間的軟件�����。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻���。防火墻英文名稱為FireWall��,是指位于計算機和它所連接的網(wǎng)絡之間的硬件或軟件�����,也可以位于兩個或多個網(wǎng)絡之間��,比如局域網(wǎng)和互聯(lián)網(wǎng)之間�����,網(wǎng)絡之間的所有數(shù)據(jù)流都經(jīng)過防火墻(見圖1)���。
通過防火墻可以對網(wǎng)絡之間的通訊進行掃描,關(guān)閉不安全的端口���,阻止外來的DoS攻擊��,封鎖特洛伊木馬等��,以保證網(wǎng)絡和計算機的安全���。防火墻是一種網(wǎng)絡安全保障手段��,是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度����,其主要目標就是通過控制入���、出一個網(wǎng)絡的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查����,防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。在邏輯上��,防火墻是一個分離器���,一個限制器�����,也是一個分析器�����,有效地監(jiān)視了內(nèi)部網(wǎng)絡和Internet之間地任何活動���,保證了內(nèi)部網(wǎng)絡地安全���;在物理實現(xiàn)上,防火墻是位于網(wǎng)絡特殊位置的一組硬件設備――路由器�����、計算機或其他特制地硬件設備����。防火墻可以是獨立地系統(tǒng),也可以在一個進行網(wǎng)絡互連地路由器上實現(xiàn)防火墻����。用防火墻來實現(xiàn)網(wǎng)絡安全必須考慮防火墻的網(wǎng)絡拓撲結(jié)構(gòu):(1)屏蔽路由器:又稱包過濾防火墻;(2)雙穴主機:雙穴主機是包過濾網(wǎng)關(guān)的一種替代�����;(3)主機過濾結(jié)構(gòu):這種結(jié)構(gòu)實際上是包過濾和的結(jié)合;(4)屏蔽子網(wǎng)結(jié)構(gòu):這種防火墻是雙穴主機和被屏蔽主機的變形�����。
(二)防火墻的功能
防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描��,這樣能夠過濾掉一些攻擊��,以免其在目標計算機上被執(zhí)行����。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信�����,封鎖特洛伊木馬���。最后,它可以禁止來自特殊站點的訪問�����,從而防止來自不明入侵者的所有通信。
(三)為什么使用防火墻
防火墻具有很好的保護作用�����。入侵者必須首先穿越防火墻的安全防線�����,才能接觸目標計算機��。你可以將防火墻配置成許多不同保護級別��。高級別的保護可能會禁止一些服務���,如視頻流等��,但至少這是你自己的保護選擇���。
五、安全技術(shù)的研究現(xiàn)狀和動向
我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密��、數(shù)據(jù)保護兩個階段���,正在進入網(wǎng)絡信息安全研究階段��,現(xiàn)已開發(fā)研制出防火墻���、安全路由器����、安全網(wǎng)關(guān)�����、黑客入侵檢測��、系統(tǒng)脆弱性掃描軟件等��。在我國信息網(wǎng)絡安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段�����,仍有大量的工作需要我們?nèi)パ芯?��、開發(fā)和探索,以走出有中國特色的產(chǎn)學研聯(lián)合發(fā)展之路�,趕上或超過發(fā)達國家的水平,以此保證我國信息網(wǎng)絡的安全���,推動我國國民經(jīng)濟的高速發(fā)展��。
21世紀全世界的計算機都將通過Internet聯(lián)到一起����,信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范����,而且還從一種專門的領(lǐng)域變成了無處不在。當人類步入21世紀這一信息社會����、網(wǎng)絡社會的時候,我國將建立起一套完整的網(wǎng)絡安全體系�����,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡安全體系����。
參考文獻:
1、雷震甲.網(wǎng)絡工程師教程[M].清華大學出版社,2004.
2�����、王春森.系統(tǒng)設計師[M].清華大學出版社,2001.
3、白以恩.計算機網(wǎng)絡基礎及應用[M].哈爾賓工業(yè)大學出版社,2003.
第3篇
關(guān)鍵詞: 網(wǎng)絡安全 系統(tǒng)安全 網(wǎng)絡運行安全 內(nèi)部網(wǎng)絡安全 防火墻
隨著網(wǎng)絡技術(shù)的不斷發(fā)展和Internet的日益普及�����,許多學校都建立了校園網(wǎng)絡并投入使用��,這無疑對加快信息處理�����,提高工作效率���,減輕勞動強度����,實現(xiàn)資源共享都起到了無法估量的作用��。但教師和學生在使用校園網(wǎng)絡的同時卻忽略了網(wǎng)絡安全問題���,登陸了一些非法網(wǎng)站和使用了帶病毒的軟件���,導致了校園計算機系統(tǒng)的崩潰�����,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網(wǎng)的正常運行�����。所以在積極發(fā)展辦公自動化�、實現(xiàn)資源共享的同時,教師和學生都應加強對校園網(wǎng)絡的安全重視�����。正如人們經(jīng)常所說的:網(wǎng)絡的生命在于其安全性��。因此�����,如何在現(xiàn)有的條件下�����,如何搞好網(wǎng)絡的安全�,就成了校園網(wǎng)絡管理人員的一個重要課題。
作為一位中學電腦教師兼負著校園網(wǎng)絡的維護和管理,我們一起來探討一下校園網(wǎng)絡安全技術(shù)��。
網(wǎng)絡安全主要是網(wǎng)絡信息系統(tǒng)的安全性���,包括系統(tǒng)安全�����、網(wǎng)絡運行安全和內(nèi)部網(wǎng)絡安全�����。
一�、系統(tǒng)安全
系統(tǒng)安全包括主機和服務器的運行安全�����,主要措施有反病毒�。入侵檢測、審計分析等技術(shù)���。
1����、反病毒技術(shù):計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序�����,它能夠傳染其它程序��,并進行自我復制���,特別是要網(wǎng)絡環(huán)境下,計算機病毒有著不可估量的威脅性和破壞力�,因此對計算機病毒的防范是校園網(wǎng)絡安全建設的一個重要環(huán)節(jié),具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監(jiān)測�����,或者在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權(quán)限等��。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監(jiān)控�����,效果不錯�����。
2、入侵檢測:入侵檢測指對入侵行為的發(fā)現(xiàn)���。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對它們進行分析���,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象,以提高系統(tǒng)管理員的安全管理能力���,及時對系統(tǒng)進行安全防范�。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件�,主要功能有:檢測并分析用戶和系統(tǒng)的活動;檢查系統(tǒng)的配置和操作系統(tǒng)的日志��;發(fā)現(xiàn)漏洞����、統(tǒng)計分析異常行為等等。
從目前來看系統(tǒng)漏洞的存在成為網(wǎng)絡安全的首要問題���,發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡管理人員主要任務�。當然���,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡管理人員所能做的���,但是及早地發(fā)現(xiàn)有報告的漏洞���,并進行升級補丁卻是我們應該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法���,就是經(jīng)常登錄各有關(guān)網(wǎng)絡安全網(wǎng)站�����,對于我們有使用的軟件和服務,應該密切關(guān)注其程序的最新版本和安全信息���,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進行必要的補丁和升級�����。許多的網(wǎng)絡管理員對此認識不夠�����,以至于過了幾年���,還能掃描到機器存在許多漏洞��。在校園網(wǎng)中服務器���,為用戶提供著各種的服務,但是服務提供的越多����,系統(tǒng)就存在更多的漏洞,也就有更多的危險����。因此從安全角度考慮,應將不必要的服務關(guān)閉���,只向公眾提供了他們所需的基本的服務�����。最典型的是�����,我們在校園網(wǎng)服務器中對公眾通常只提供WEB服務功能����,而沒有必要向公眾提供FTP功能,這樣�����,在服務器的服務配置中�����,我們只開放WEB服務����,而將FTP服務禁止。如果要開放FTP功能����,就一定只能向可能信賴的用戶開放��,因為通過FTP用戶可以上傳文件內(nèi)容����,如果用戶目錄又給了可執(zhí)行權(quán)限,那么���,通過運行上傳某些程序�����,就可能使服務器受到攻擊����。所以,信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡不安全的一個因素����。
3、審計監(jiān)控技術(shù)�����。審計是記錄用戶使用計算機網(wǎng)絡系統(tǒng)進行所有活動的過程�����,它是提高安全性的重要工具���。它不僅能夠識別誰訪問了系統(tǒng)�����,還能指出系統(tǒng)正被怎樣地使用��。對于確定是否有網(wǎng)絡攻擊的情況���,審計信息對于確定問題和攻擊源很重要�����。同時���,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題,并且它是后面階段事故處理的重要依據(jù)�����。另外�����,通過對安全事件的不斷收集���、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤���,可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞性行為��。
因此���,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外����,還應使用目前已較為成熟的網(wǎng)絡監(jiān)控設備��,以便對進出各級局域網(wǎng)的常見操作進行實時檢查��、監(jiān)控����、報警和阻斷,從而防止針對網(wǎng)絡的攻擊與犯罪行為��。 二�����、網(wǎng)絡運行安全
網(wǎng)絡運行安全除了采用各種安全檢測和控制技術(shù)來防止各種安全隱患外���,還要有備份與恢復等應急措施來保證網(wǎng)絡受到攻擊后����,能盡快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)。
一般數(shù)據(jù)備份操作有三種���。一是全盤備份����,即將所有文件寫入備份介質(zhì)���;二是增量備份���,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法�����;三是差分備份��,備份上次全盤備份之后更改過的所有文件��。
根據(jù)備份的存儲媒介不同�����,有“冷備份”和“熱備份”兩種方案��?���!盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡中,只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務系統(tǒng)中存放���,具有速度快和調(diào)用方便的特點�����?�!袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲媒介中���,而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡沒有直接聯(lián)系,在系統(tǒng)恢復時重新安裝����。其特點是便于保管,用以彌補了熱備份的一些不足���。進行備份的過程中��,常使用備份軟件����,如GHOST等。
三�����、內(nèi)部網(wǎng)絡安全
第4篇
【關(guān)鍵詞】網(wǎng)絡安全�����;黑客���;入侵與攻擊����;木馬
隨著計算機和Internet技術(shù)的迅速普及和發(fā)展��,計算機網(wǎng)絡早已成了一個國家的經(jīng)濟脈搏�����。計算機網(wǎng)絡在社會活動的各個方面中都起到了不可或缺的作用��。大部分的企業(yè)、政府部門和其他組織機構(gòu)均建立了適合各自使用的基于互聯(lián)網(wǎng)的相關(guān)系統(tǒng)����,達到充分配置各種資源和信息共享等功效��?��;ヂ?lián)網(wǎng)為社會和經(jīng)濟的快速進步提供了技術(shù)基礎��,作用也愈發(fā)突出�����。然而��,網(wǎng)絡技術(shù)的快速發(fā)展也出現(xiàn)了多種多樣的問題���,安全狀況尤其明顯。因為它又為很多的計算機病毒和黑客創(chuàng)造了機會和可能����,不管是由于它們在設計上有不足,還是因為人為的原因造成的種種漏洞和缺陷�����,均會被某些意圖不軌的黑客利用,進而發(fā)起對系統(tǒng)等進行攻擊���。只有做到了解才能在黒客進行網(wǎng)絡攻擊前做到充分的防范����,從而保證網(wǎng)絡運行過程中的安全性����。熟知Internet會發(fā)生的各種狀況威脅,做到及時的預防和準備���,實現(xiàn)網(wǎng)絡安全早已成為互聯(lián)網(wǎng)實施中最為主要的方面��。網(wǎng)絡安全是在互聯(lián)網(wǎng)經(jīng)濟時代中人們所面臨的共同威脅��,而我國的網(wǎng)絡安全問題也越來越明顯�����。
1 網(wǎng)絡安全面對的威脅主要表現(xiàn)為:
1.1 黑客攻擊
黑客最開始是指那些研究計算機技術(shù)的專業(yè)計算機人士�����,特別是那些編程技術(shù)人員���。但現(xiàn)在��,黑客一詞則是泛指那些專門通過互聯(lián)網(wǎng)對計算機系統(tǒng)進行破壞或非法入侵的人。全球現(xiàn)在已有20多萬個黑客網(wǎng)站����,網(wǎng)站上講解了對網(wǎng)站和系統(tǒng)的一些攻擊軟件的使用和攻擊的方式,以及系統(tǒng)的某些缺陷和漏洞���,所以黑客技術(shù)也被人們普遍的了解��,因此系統(tǒng)和網(wǎng)站受到攻擊的幾率就大大提高���。目前對于網(wǎng)絡犯罪進行快速反應、跟蹤和追捕等技術(shù)不健全�����,使得黑客攻擊系統(tǒng)和網(wǎng)站越來越猖狂�����,這也是影響網(wǎng)絡安全的重要因素。
1.2 木馬
木馬程序是當前在互聯(lián)網(wǎng)上盛行的病毒感染文件����,和普通的病毒不一樣,它不能進行自我繁殖���,也并不“自主”地去破壞用戶文件����,通過將文件偽裝吸引用戶下載運行被感染的文件����,向施種木馬者提供打開被感染用戶計算機的門戶�����,使施種者可以對被感染的用戶的文件進行盜竊���、破壞,還可以控制被感染用戶的計算機����。一般情況下的木馬文件包括客戶端和服務器端兩個部分,客戶端是施種木馬者進行遠程控制被感染的用戶的服務器終端���,而服務器端則是植入木馬文件的遠程計算機���。當木馬程序或包含木馬病毒的其他程序運行時����,木馬會先在系統(tǒng)中潛伏下來���,并篡改系統(tǒng)中的數(shù)據(jù)和程序,每次使用系統(tǒng)時都會使?jié)摲哪抉R程序自動運行��。執(zhí)行木馬的客戶端和服務器端在運行模式上屬于客戶機/服務器方式Client/Server�����,C/S 客戶端在當?shù)赜嬎銠C上運行��,用來控制服務器端。而服務器端則是在遠程計算機上運行,只要運行成功該計算機就中了木馬�,那么就變成了一臺服務器�����,可以控者進行遠程控制��。
2 對防范網(wǎng)絡攻擊的建議:
在對網(wǎng)絡攻有一定的了解的同時�����,我們應該對網(wǎng)絡攻擊采取有效的措施。確定網(wǎng)絡攻擊的漏洞所在��,建立真正有效的的安全防范系統(tǒng)��。在網(wǎng)絡環(huán)境下設立多種多層的防范措施���,真正達到防范的效果��,讓每種措施都像關(guān)卡一樣���,使得攻擊者無計可使���。同時,我們還要做到防范于未然�����,對重要的數(shù)據(jù)資料及時備份并實時了解系統(tǒng)的運作情況����,做到有備無患��。
對于網(wǎng)絡安全的問題�����,提出的以下幾點建議:
2.1 加強對安全防范的重視度
(1) 對于來路不明的郵件和文件不要隨意的下載和打開,謹慎運行不熟悉的人提供的程序和軟件����,像“特洛伊”類木馬文件就需要誘使你執(zhí)行��。
(2)最好不要從互聯(lián)網(wǎng)上下載不正規(guī)的文件���、游戲和程序等�����。就算是從大家都熟悉的網(wǎng)站下載程序等,也要在第一時間用最新的查殺病毒和木馬的軟件對其進行安全掃描���。
(3)在進行密碼設置是,盡量不適用單一的英文或數(shù)字的密碼種類��,因為它們很容易被破解���,最好是字母、數(shù)字和符號的混合使用���。同時對于經(jīng)常使用的各個密碼要進行不同的設定����,防止一個密碼被盜導致其他的重要數(shù)據(jù)丟失���。
(4)對于系統(tǒng)提示的系統(tǒng)漏洞和補丁要及時的修補和安裝��。
(5)在支持HTML的論壇上���,如出現(xiàn)提交發(fā)出警告��,那么先查看BBS源代碼���,這極可能是誘騙密碼的陷阱。
2.2 及時的使用防毒����、防黑等防火墻保護軟件,防火墻是一個用來防止互聯(lián)網(wǎng)上的黑客入侵某個機構(gòu)網(wǎng)絡的保障���,也把它稱做控制進與出兩個方面通信的大門����。在互聯(lián)網(wǎng)邊界上通過建立各種網(wǎng)絡通信流量監(jiān)控體系來隔離內(nèi)部和外部的網(wǎng)絡����,來防止外面互聯(lián)網(wǎng)的入侵��。
網(wǎng)絡攻擊的現(xiàn)象越來越多,攻擊者也是越來越猖狂�����,這極大的威脅了網(wǎng)絡的安全性���。黑客們的瘋狂入侵是都可以采取措施來防范的���,只要我們知道他們的攻擊方式及擁有大量的安全防御知識,就能消除黑客們的惡意進攻����。不論什么時候我們都要把重視網(wǎng)絡安全教育,提高網(wǎng)絡用戶的安全防范意識和培養(yǎng)一定的防御能力�����,這對確保整個網(wǎng)絡的安全性有著不可或缺的作用����。如今,市面上也出現(xiàn)了很多的提高網(wǎng)絡安全的方法和各種防火墻����,筆者認為網(wǎng)絡成為安全的信息傳輸媒介即將成為現(xiàn)實��。
參考文獻:
[1]周學廣等.信息安全學. 北京:機械工業(yè)出版社�����,2003.3
[2] (美)Mandy Andress著.楊濤等譯.計算機安全原理. 北京:機械工業(yè)出版社����,2002.1
[3]曹天杰等編著.計算機系統(tǒng)安全.北京:高等教育出版社��,2003.9
第5篇
關(guān)鍵詞:計算機網(wǎng)絡;網(wǎng)絡安全維護;應用
計算機網(wǎng)絡安全主要是為了保護信息傳輸?shù)臋C密性����,防止攻擊造成的信息泄露,有必要建立一個安全有效的計算機網(wǎng)絡病毒防護軟件����,而且在使用網(wǎng)絡時對收到的信息和發(fā)出嚴格的檢查和控制?�;诰W(wǎng)絡安全的計算機操作���,維護數(shù)據(jù)安全����,確保網(wǎng)絡不受計算機病毒入侵和損壞�����。在現(xiàn)代社會��,信息化是一項重要資源��,同時享受信息通信的便利性���,安全問題逐漸引起了人們的關(guān)注�����。近年來�����,一些網(wǎng)絡安全相關(guān)技術(shù)����,如病毒防火墻技術(shù)���,秘密安全管理技術(shù)和智能門禁技術(shù)��,智能卡技術(shù)���,數(shù)字簽名技術(shù)����,智能認證技術(shù)等技術(shù)手段����。加強計算機網(wǎng)絡安全管理,完善安全管理技術(shù)���,確保日常工作正常運行��,保障信息安全�����,具有重要意義���。
1、現(xiàn)行的計算機網(wǎng)絡安全問題分析
1.1操作系統(tǒng)自身問題
為了方便開發(fā)商繼續(xù)更新升級��,操作系統(tǒng)均具有很強的可擴展性,無論是Windows操作系統(tǒng)��,還是Linux或Vista操作系統(tǒng)�����,這種擴展性給黑客攻擊提供了便利��,為計算機網(wǎng)絡環(huán)境帶來了安全隱患����,����。計算機系統(tǒng)的漏洞是任何系統(tǒng)和程序的設計都不能做到完美兼容。網(wǎng)絡操作基礎是計算機網(wǎng)絡安全運行的前提條件��,目前很多技術(shù)漏洞存在于網(wǎng)絡操作系統(tǒng)中����,黑客就會針對這些漏洞進行攻擊,一旦系統(tǒng)維護���、補丁修復不及時����,是可能使網(wǎng)絡發(fā)生攻擊,對整個計算機網(wǎng)絡帶來的非常嚴重的安全隱患��。所以用戶需要做一個例行的bug修復��,減少系統(tǒng)漏洞造成的損失�����。
1.2計算機病毒
計算機病毒和黑客攻擊是造成計算機網(wǎng)絡安全問題的重要因素。黑客在沒有獲得授權(quán)和許可的條件下��,利用特殊的技術(shù)對他人計算機和服務器等進行未授權(quán)操作�����。黑客利用多種手段進行攻擊和信息竊取��,對他人計算機進行控制,竊取用戶的相關(guān)資料����,對計算機用戶的信息安全和財產(chǎn)安全帶來很大隱患����。計算機病毒是人為編寫的��,在網(wǎng)絡中進行傳播,對用戶的數(shù)據(jù)安全和硬件安全都會造成很大的危害�����。計算機病毒傳播較快,自身比較隱蔽��,嚴重影響了用戶的正常使用����,給用戶帶來了很大損失。
1.3黑客攻擊
計算機病毒和黑客攻擊是造成計算機網(wǎng)絡安全問題的重要因素�����。黑客在沒有獲得授權(quán)和許可的條件下�����,利用特殊的技術(shù)對他人計算機和服務器等進行未授權(quán)操作����。黑客利用多種手段進行攻擊和信息竊取,對他人計算機進行控制�����,竊取用戶的相關(guān)資料����,對計算機用戶的信息安全和財產(chǎn)安全帶來很大隱患。計算機病毒是人為編寫的��,在網(wǎng)絡中進行傳播���,對用戶的數(shù)據(jù)安全和硬件安全都會造成很大的危害��。計算機病毒傳播較快���,自身比較隱蔽,嚴重影響了用戶的正常使用����,給用戶帶來了很大損失����。
1.4數(shù)據(jù)庫隱患造成的安全問題
數(shù)據(jù)庫作為數(shù)據(jù)管理的核心��,掌管著大量的信息和數(shù)據(jù)。數(shù)據(jù)庫可以方便有效的對數(shù)據(jù)進行存儲和管理�����,但是在安全性還存在一些問題��。數(shù)據(jù)庫防火墻是數(shù)據(jù)庫對于信息數(shù)據(jù)保護的主要方式�����,數(shù)據(jù)庫防火墻對于外網(wǎng)的攻擊和非法登錄有很好的限制效果����。但是隨著技術(shù)的不斷進步��,數(shù)據(jù)庫的防火墻發(fā)展較為遲緩��,不能對數(shù)據(jù)庫進行百分百的保護���。數(shù)據(jù)庫雖然能避免外網(wǎng)的部分攻擊,但是對于內(nèi)網(wǎng)的行為限制嚴重不足���。在用戶登錄授權(quán)上,管理工作不規(guī)范�����,人員權(quán)限下發(fā)不明確,造成數(shù)據(jù)庫管理工作混亂��,影響數(shù)據(jù)安全性���。另外��,系統(tǒng)和軟件的漏洞也是數(shù)據(jù)庫產(chǎn)生安全問題的重要因素����。
2、網(wǎng)絡安全維護中計算機網(wǎng)絡安全技術(shù)的應用
2.1數(shù)據(jù)加密以及網(wǎng)絡訪問控制技術(shù)在網(wǎng)絡安全維護中的應用
計算機網(wǎng)絡在運轉(zhuǎn)過程中傳輸?shù)臄?shù)據(jù)通常是以動態(tài)的形式存在��,利用密鑰對其控制是加密技術(shù)的核心����,加密算法及密鑰管理是加密技術(shù)的關(guān)鍵�����,密鑰是數(shù)據(jù)接收者解密密文的主要攻擊��,加密算法則對數(shù)據(jù)進行對稱加密算法或非對稱加密算法�����,從而進行數(shù)據(jù)處理的轉(zhuǎn)換,避免未經(jīng)授權(quán)的用戶修改數(shù)據(jù)信息�����。
2.2防火墻技術(shù)在網(wǎng)絡安全維護中的應用
使用防火墻技術(shù)�����,計算機服務器的安全被簡單有效的提升了,對服務器進行數(shù)據(jù)掃描能夠從源頭開始����,在極短時間內(nèi)中斷服務器與服務器之間的數(shù)據(jù)傳輸���,阻止病毒等的傳播。防火墻技術(shù)主要有:(1)狀態(tài)監(jiān)測����,監(jiān)控計算機網(wǎng)絡中的數(shù)據(jù)來識別數(shù)據(jù)信息的不安全性,這種防火墻技術(shù)的優(yōu)點是顯而易見的�����,但由于保護的延遲���,缺乏一定的及時性,使用計算機網(wǎng)絡作為一個整體�����,數(shù)據(jù)流的主要分析,可能導致保護延遲;(2)包過濾防火墻���,主要是對由路由器上傳至主機的數(shù)據(jù)進行掃描和過濾,進而攔截位置數(shù)據(jù)���,在保護協(xié)議的基礎上,在安全保護的基礎上���,反映出保護的價值;(3)應用型防火墻���,應用型防火墻安全性較高,可以針對性的偵測和掃描應用層,在侵入和病毒作用于應用層效果顯著。防火墻技術(shù)等計算機網(wǎng)絡安全技術(shù)��,在安全防護上占有主要地位,具有明顯的優(yōu)勢�����,提高了計算機網(wǎng)絡的保護水平���。
2.3防病毒技術(shù)在網(wǎng)路安全維護中的應用
計算機病毒和黑客攻擊是導致計算機網(wǎng)絡安全問題的重要因素���。黑客沒有授權(quán)使用其他計算機和服務器上的特殊技術(shù)��,例如未經(jīng)授權(quán)的操作��。防病毒技術(shù)包括安裝常規(guī)防病毒軟件����,更新殺毒軟件數(shù)據(jù)庫���,網(wǎng)絡下載或接收郵件等文件掃描和病毒防病毒�����,特別是對于未知文件�����,需要確認病毒然后打開;一些木馬等病毒經(jīng)常通過盜版軟件和惡意使用操作系統(tǒng)對計算機進行病毒攻擊����,需要更新個人電腦操作系統(tǒng)���,安裝系統(tǒng)更新補丁���,以確保最新最安全的狀態(tài)系統(tǒng);為了使用操作系統(tǒng)進行計算機攻擊�����,計算機安裝軟件進行更新和升級����,以減少系統(tǒng)漏洞���。
2.4網(wǎng)絡安全管理
提高計算機網(wǎng)絡安全管理工作的安全性也具有一定意義,提高安全管理要求��,對于計算機網(wǎng)絡的訪問進行合理有效的控制�����,建立健全安全管理是確保計算機網(wǎng)絡安全的重要手段基礎�����。加強網(wǎng)絡安全管理的有效途徑是在新網(wǎng)絡建設初期評估和設計新網(wǎng)絡的安全性能�����。加強系統(tǒng)評估的安全性,建立信息安全體系����,確保系統(tǒng)的安全性和穩(wěn)定性。計算機用戶需要加強安全意識���,盡可能提高用戶的法律意識���,計算機網(wǎng)絡安全和安全需求的增長,同時需要一個良好的計算機網(wǎng)絡安全和安全環(huán)境��。
3����、結(jié)語
互聯(lián)網(wǎng)技術(shù)的發(fā)展擴展了計算機網(wǎng)絡技術(shù)的發(fā)展前景的同時,����。互聯(lián)網(wǎng)的信息開放性�����、共享性、匿名性使得信息的安全存在很大隱患��,也帶來了一些安全問題基于網(wǎng)絡安全維護的背景���,本文闡述了計算機網(wǎng)絡安全的內(nèi)涵���,結(jié)合了黑客攻擊,病毒傳播等常見網(wǎng)絡安全問題��。從防火墻技術(shù)���,加密技術(shù)和防病毒技術(shù)等方面對計算機網(wǎng)絡安全防護技術(shù)進行系統(tǒng)分析���?�?梢钥闯?��,加強計算機網(wǎng)絡安全的管理���,提高安全管理的技術(shù)對于保證日常工作的正常進行,保證信息財產(chǎn)的安全有著重要的意義�����。
參考文獻:
[1]陳建平.基于工作過程的《計算機網(wǎng)絡安全》一體化課程開發(fā)及實施研究[D].華中師范大學,2014.
[2]王蔚蘋.網(wǎng)絡安全技術(shù)在某企業(yè)網(wǎng)中應用研究[D].成都:電子科技大學,2011.
[3]石海濤.基于網(wǎng)絡安全維護的計算機網(wǎng)絡安全技術(shù)應用[J].電腦編程技巧與維護,2014,08(06):121-122.
第6篇
關(guān)鍵詞:網(wǎng)絡安全;智能電網(wǎng)
中圖分類號:TP393.08����;TM76
智能電網(wǎng)現(xiàn)在己經(jīng)成為世界電網(wǎng)發(fā)展的共同趨勢。隨著信息技術(shù)在電力系統(tǒng)基礎設施和高級應用中的深度滲透���,相互依存的信息網(wǎng)和電力網(wǎng)將成為未來智能電網(wǎng)的重要組成部分[1]����。
本文首先分析了信息化背景下智能電網(wǎng)中存在的安全性問題��,然后總結(jié)了智能電網(wǎng)中的幾種網(wǎng)絡安全技術(shù)�����,探討了信息網(wǎng)絡安全技術(shù)對電力系統(tǒng)網(wǎng)絡安全的影響��。最后���,討論了提高智能電網(wǎng)網(wǎng)絡安全水平的可行對策和改進措施����。
1 智能電網(wǎng)網(wǎng)絡安全分析
相比于傳統(tǒng)電網(wǎng),智能電網(wǎng)中需要監(jiān)測和控制的設備數(shù)量更多����,分布更廣[1]。為了實現(xiàn)全面和實時的監(jiān)控�����,成本低廉的無線通信網(wǎng)和分布廣泛的公用因特網(wǎng)將在智能電網(wǎng)通信系統(tǒng)中占有越來越多的比重���。然而����,電力系統(tǒng)中公用網(wǎng)絡的大量接入為惡意攻擊提供了更多的入口����。這將為電網(wǎng)和用戶帶來更大的危害。
2 智能電網(wǎng)網(wǎng)絡安全技術(shù)
2.1 防火墻技術(shù)���。防火墻[2][3]是一種由硬件和軟件設備構(gòu)成的,在公共網(wǎng)與專用網(wǎng)之間和外部網(wǎng)與內(nèi)部網(wǎng)之間的界面上形成的堅實壁壘�����。它是計算機軟件和硬件的結(jié)合,可以形成Internet之間的安全網(wǎng)關(guān)��,以達到保護合法用戶安全的目的��。由于目前的電力系統(tǒng)網(wǎng)絡整體安全涉及的層面比較廣�����,合理配置防火墻安全策略���,就成為保障電力系統(tǒng)網(wǎng)絡安全�����、抵御非法入侵以及黑客攻擊的第一道屏障[2]�����。
2.2 入侵檢測技術(shù)(IDS)�����。入侵檢測技術(shù)是為了保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?���,F(xiàn)象的技術(shù)。電力企業(yè)需加強對入侵檢測技術(shù)的應用��,從而有效地對防火墻和防病毒軟件進行補充�����,即時監(jiān)視和審計網(wǎng)絡中的攻擊程序和有害代碼����,并進行有效的中斷、調(diào)整或隔離���,降低電力系統(tǒng)所遭受的安全威脅�����。
2.3 防病毒技術(shù)�����。隨著電力系統(tǒng)信息化程度的不斷提高����,與外部連接的信息系統(tǒng)以及終端很容易受到來自互聯(lián)網(wǎng)病毒的威脅����,因此電力企業(yè)安裝防病毒軟件或防病毒網(wǎng)關(guān)十分重要,同時必須對其及時更新����、升級,防止病毒的入侵以及在網(wǎng)絡中的擴散��。
2.4 加密技術(shù)����。為確保數(shù)據(jù)的保密性、完整性和有效性��,電力企業(yè)要求對于重要終端上的數(shù)據(jù)傳輸必須經(jīng)過加密���。為防止電力系統(tǒng)工作中出現(xiàn)主動泄密����,電力公司加強部署桌面終端管控系統(tǒng)�����、郵件安全審計系統(tǒng)��、下發(fā)信息安全保密U盤等措施,實施對數(shù)據(jù)的用戶授權(quán)����、傳輸、拷貝進行安全管控��,同時對移動終端采取硬盤加密等技術(shù)手段來防止被動泄密����。通過安全管理與技術(shù)管控的結(jié)合,保證了電力系統(tǒng)運行的數(shù)據(jù)安全�����。
2.5 身份認證����。身份認證技術(shù)是計算機網(wǎng)絡中為確認操作者身份而產(chǎn)生的解決方法。目前電力企業(yè)不斷加強對身份認證技術(shù)的重視����,從單純的靜態(tài)密碼,到同時使用動態(tài)口令��、智能卡、USBKey�����、生物識別等技術(shù)�����,采用雙因素甚至多因素身份認證技術(shù)[5]�����,并通過信息安全等級保護進行相關(guān)規(guī)定�����,進一步加強和改善身份認證模式���,提高操作人員信息安全意識和技能。
2.6 VPN技術(shù)����。虛擬專用網(wǎng)(Virtual Private Network,VPN)通過公用網(wǎng)絡安全地對企業(yè)內(nèi)部專用網(wǎng)絡進行遠程訪問�����,可以實現(xiàn)不同的網(wǎng)絡的組件和資源之間的相互連接,它提供了與專用網(wǎng)絡一樣的安全和功能保障��。VPN 采用加密和認證的技術(shù)���,在公共網(wǎng)絡上建立安全專用隧道的網(wǎng)絡����,從而實現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)�����、達到私有網(wǎng)絡的安全級別�����。
2.7 建立網(wǎng)絡安全聯(lián)動系統(tǒng)的重要性��。以上這些安全技術(shù)主要針對安全問題中的某一點而開發(fā)����,對于一個系統(tǒng),要取得較好的安全防范效果����,一般需要綜合運用多種網(wǎng)絡安全技術(shù)�����。因此�����,智能電網(wǎng)需要一種網(wǎng)絡安全聯(lián)動機制,綜合各種網(wǎng)絡安全技術(shù)的優(yōu)勢����,從而取得更好的網(wǎng)絡安全防范效果。
3 網(wǎng)絡安全聯(lián)動系統(tǒng)模型設計
針對當前智能電網(wǎng)的網(wǎng)絡安全現(xiàn)狀�����,本文提出了一種基于策略的網(wǎng)絡安全聯(lián)動框架���。該聯(lián)動框架被劃分為三個層次����。
(1)設備管理層:直接負責對聯(lián)動設備進行監(jiān)控����,包含聯(lián)動設備和�����。
(2)事件管理層:對設備管理層采集的大量安全事件進行處理�����,產(chǎn)生一個確定的安全警報���,送到?jīng)Q策層的策略判決點和安全管理員控制端;同時將安全事件存儲在數(shù)據(jù)庫中��,供安全管理員查詢����,進行攻擊取證時所用。事件管理層包括事件管理器和事件數(shù)據(jù)庫���。
(3)決策層:決定對產(chǎn)生的安全警報如何進行處理���,下達指令到設備管理層,使相關(guān)的設備聯(lián)動響應����。決策層包括策略判決點���、策略庫和管理控制端。
聯(lián)動的具體過程如圖1所示��,詳盡闡述了聯(lián)動過程在聯(lián)動框架各層中需要經(jīng)過的步驟�����。首先�����,安全設備檢測到新產(chǎn)生的網(wǎng)絡安全事件�����,隨后經(jīng)過格式化處理的安全事件�����,被事件管理器接收��。通過歸并的方法將各安全事件分類�����,隨后過濾其中的冗余事件���,最后實施關(guān)聯(lián)分析�����。從而形成一個確定的安全警報送到策略判決點���。策略判決點解析安全警報,通過查詢和匹配預先配置在策略庫中的策略��,觸發(fā)相應的聯(lián)動策略����,然后給需要聯(lián)動的設備下達指令,從而使得相應設備產(chǎn)生聯(lián)動響應��。另外���,管理控制端還可以處理一些上報的安全警報以協(xié)助管理員進行決策���,當突發(fā)一些較為棘手的情況而找不到相應聯(lián)動策略時��,則需要管理員憑借自身的經(jīng)驗與知識來處理次安全事件��,操作相應的設備����,完成聯(lián)動過程���,并將這個過程編輯成聯(lián)動策略��,更新策略庫���。具體的聯(lián)動策略可以根據(jù)電力公司實際的網(wǎng)絡應用環(huán)境,由安全管理員進行配置和維護���。
4 小結(jié)
電力企業(yè)所面臨的網(wǎng)絡安全問題多種多樣,正確的安全策略與合適的網(wǎng)絡安全技術(shù)產(chǎn)品只是一個開端���,電力企業(yè)網(wǎng)絡將面臨更大的安全挑戰(zhàn)����。
參考文獻:
[1]高鵬����,范杰�����,郭騫.電力系統(tǒng)信息安全技術(shù)督查策略研究[C].2012年電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集�����,2013.
[2]Kent S����,Seo K.IETF RFC4301. Security Architecture for the Internet Protocol.USA:IETF����,2005.
[3]陳秋園.淺談電力系統(tǒng)信息安全的防護措施[J].科技資訊,2011(14).
[4]翟紹思.電力系統(tǒng)信息安全關(guān)鍵技術(shù)的研究[J].中國科技信息��,2008(15).
[5]葉杰宏.加強電力信息安全防護[J].供用電�����,2008����,25(3).
第7篇
關(guān)鍵詞: 校園網(wǎng)絡平安 系統(tǒng)平安 網(wǎng)絡運行平安 內(nèi)部網(wǎng)絡平安 防火墻
許多學校都建立了校園網(wǎng)絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現(xiàn)資源共享都起到了無法估量的作用���。但校園網(wǎng)用戶在使用校園網(wǎng)絡的同時卻忽略了網(wǎng)絡安全問題,登陸了一些非法網(wǎng)站和使用了帶病毒的軟件,導致了校園計算機系統(tǒng)的癱瘓,嚴重影響了校園網(wǎng)的正常運行。所以在積極發(fā)展辦公自動化,實現(xiàn)資源共享的同時,校園網(wǎng)用戶都應加強對校園網(wǎng)絡安全的重視��。因此,如何在現(xiàn)有的條件下,搞好網(wǎng)絡安全,就成了校園網(wǎng)絡管理人員的一個重要課題����。
高校網(wǎng)絡管理員肩負著校園網(wǎng)絡的維護和管理責任,同時也承擔維護系統(tǒng)安全、網(wǎng)絡運行安全和內(nèi)部網(wǎng)絡安全的責任���。維護好網(wǎng)絡安全,我們可從以下幾個方面著手���。
一、系統(tǒng)安全
主要措施有反病毒���、入侵檢測�����、審計分析等技術(shù)。系統(tǒng)安全包括主機和服務器運行安全�����。我們可采用以下措施來保護系統(tǒng)的安全。
1.反病毒技術(shù)���。計算機病毒是引起計算機故障���、破壞計算機數(shù)據(jù)的主要原因之一。特別是在網(wǎng)絡環(huán)境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網(wǎng)絡安全建設的一個重要環(huán)節(jié),具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監(jiān)測,或者在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權(quán)限等,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象,
2.入侵檢測����。入侵檢測指對入侵行為的發(fā)現(xiàn)。通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對它進行分析,以提高系統(tǒng)管理員的安全管理能力,及時對系統(tǒng)進行安全防范����。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統(tǒng)的活動;檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞,統(tǒng)計分析異常行為,等等。
發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡管理人員的主要任務���。當然,從目前來看,系統(tǒng)漏洞的存在成為網(wǎng)絡安全的首要問題����。從系統(tǒng)中發(fā)現(xiàn)漏洞不是一般網(wǎng)絡管理人員所能做到的,但是,及早地發(fā)現(xiàn)有報告的漏洞,并進行升級補丁卻是應該做的�����。而發(fā)現(xiàn)有報告的漏洞最常用的方法,就是經(jīng)常登錄各有關(guān)網(wǎng)絡安全網(wǎng)站,對于已使用的軟件和服務,應該密切關(guān)注其程序的最新版本和安全信息,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進行必要的補丁和升級。許多網(wǎng)絡管理員對此認識不夠,以致于過了幾年,還能掃描到機器存在許多漏洞���。校園網(wǎng)中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統(tǒng)存在的漏洞也就越多,也就有更多的危險��。因此從安全角度考慮,網(wǎng)絡管理員應將不必要的服務關(guān)閉,只向公眾提供所需的基本的服務���。最典型的校園網(wǎng)服務器中對公眾通常只提供Web服務功能,而沒有必要向公眾提供FTP功能,這樣,服務器的服務配置中,只開放Web服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內(nèi)容,如果用戶目錄又給了可執(zhí)行權(quán)限,那么通過運行上傳某些程序,就可能使服務器受到攻擊�����。所以,信賴來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡不安全的一個因素����。
3.審計監(jiān)控技術(shù)。審計是記錄用戶使用計算機網(wǎng)絡系統(tǒng)進行所有活動的過程���。它還能指出系統(tǒng)正被怎樣地使用�����。在確定是否有網(wǎng)絡攻擊的情況時,審計信息對于確定問題和攻擊源很重要����。同時,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題,并且它是后面階段事故處置的重要依據(jù)���。另外,通過對安全事件的不時收集��、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發(fā)現(xiàn)可能發(fā)生的破壞��。除使用一般的網(wǎng)管軟件系統(tǒng)���、監(jiān)控管理系統(tǒng)外,還應使用目前已較為成熟的網(wǎng)絡監(jiān)控設備,以便對進出各級局域網(wǎng)的罕見操作進行實時檢查、監(jiān)控����、報警和阻斷,從而防止針對網(wǎng)絡的攻擊與犯罪行為。
二�����、網(wǎng)絡運行安全
要保證網(wǎng)絡運行安全,除采用各種安全檢測和控制技術(shù)來防止各種安全隱患外,我們還應該具備盡快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)的功能,即將所有文件寫入備份介質(zhì)���。一般數(shù)據(jù)備份操作有兩種:一是全盤備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法����。二是差分備份,備份上次全盤備份之后更改過的所有文件,有“冷備份”和“熱備份”兩種方案��。“熱備份”指下載備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡中,根據(jù)備份的存儲媒介不同,只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務系統(tǒng)中存放,具有速度快和調(diào)用方便的特點����。“冷備份”將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡沒有直接聯(lián)系,系統(tǒng)恢復時重新安裝���。其特點是便于保管,用以彌補“熱備份”的一些不足�����。進行備份的過程中常使用備份軟件,如GHOST等�����。
三���、內(nèi)部網(wǎng)絡安全
為了保證局域網(wǎng)安全,內(nèi)網(wǎng)和外網(wǎng)最好進行訪問隔離。常用的措施是內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡安全檢測,以增強機構(gòu)內(nèi)部網(wǎng)的安全性��。
采用防火墻技術(shù)是目前維護內(nèi)部網(wǎng)安全的最主要的同時也是最在效和最經(jīng)濟的措施之一�����。防火墻不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,防火墻在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中,能根據(jù)平安政策控制出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力���。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施�����。防火墻技術(shù)可以決定哪些內(nèi)部服務可以被外界訪問,外界的哪些人可以訪問內(nèi)部的哪些服務,以及哪些外部服務可以被內(nèi)部人員訪問�����。其基本功能有:過濾進出的數(shù)據(jù),管理進出網(wǎng)絡的訪問行為,封堵某些禁止的業(yè)務等��。應該強調(diào)的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部���。因此必須將防火墻的安全維護融合到系統(tǒng)的整體安全戰(zhàn)略中,才能實現(xiàn)真正的平安。
保證網(wǎng)絡系統(tǒng)安全最有效的方法是定期對網(wǎng)絡系統(tǒng)進行安全性評估分析,檢查系統(tǒng)存在弱點和漏洞,采取彌補措施和安全策略,達到增強網(wǎng)絡安全性的目的���。
參考文獻:
第8篇
關(guān)鍵詞:校園網(wǎng)���;網(wǎng)絡安全;防火墻
一���、網(wǎng)絡安全概念
網(wǎng)絡安全是一門涉及計算機科學���、通信技術(shù)����、網(wǎng)絡技術(shù)���、密碼技術(shù)���、信息安全技術(shù)、應用數(shù)學����、信息論、數(shù)論等多種學科的綜合性學科�����。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞�����、更改����、泄露��,系統(tǒng)連續(xù)可靠正常地運行���,網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全����,從廣義來說��,凡是涉及到網(wǎng)絡上信息的保密性�����、完整性����、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡安全的研究領(lǐng)域���。但網(wǎng)絡安全具體的含義會因為不同對象而產(chǎn)生不同的理解�����,對于網(wǎng)絡的使用者來說���,他們希望商業(yè)秘密���、個人隱私、個人安全等相關(guān)信息能真實�����、完整��、保密在網(wǎng)絡上進行傳輸和存儲�����,且避免非法人員利用各種手段對信息進行竊取���、篡改�����,損害使用者的利益��;但對網(wǎng)絡具體的管理者和維護人員來說����,他們希望網(wǎng)絡不受病毒感染、遭受攻擊���、網(wǎng)絡資源受到非法占用和控制��,保證網(wǎng)絡及網(wǎng)絡中的信息能正常訪問和操作����。
二��、網(wǎng)絡安全關(guān)鍵技術(shù)
1.防火墻技術(shù)
防火墻(FireWall)技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一�����,也是目前網(wǎng)絡系統(tǒng)實現(xiàn)網(wǎng)絡安全策略應用最為廣泛的工具之一���。所謂防火墻就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。
防火墻分為兩種類型�����,即標準防火墻和雙家網(wǎng)關(guān)�����。標準防火墻系統(tǒng)包含一個UNIX工作站,該工作站的兩端各接一個路由器進行緩沖���。其中一個路由器的接口是外部網(wǎng)絡��,即internet網(wǎng)��;另一個接口連接內(nèi)部私有網(wǎng)絡����。標準防火墻使用專門的軟件�����,在信息傳輸上因需進行轉(zhuǎn)換有一定的延遲����。雙家網(wǎng)關(guān)(Dual Home Gateway)則是標準防火墻的擴充,又稱堡全主機(Bation Host)或應用層網(wǎng)關(guān)(Applications LayerGateway)�����,它是一個單個的系統(tǒng)。雙家網(wǎng)關(guān)的優(yōu)點是能運行更復雜的應用同時防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆����,可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡到達內(nèi)部網(wǎng)絡,反之亦然����。
2.虛擬專用網(wǎng)(VPN)技術(shù)
虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡建立一個臨時的、安全的連接�����,是一條穿過混亂的公用網(wǎng)絡的安全����、穩(wěn)定的U道,虛擬專用網(wǎng)(VPN)是對企業(yè)內(nèi)部網(wǎng)的擴展虛擬專用網(wǎng)VPN可以幫助遠程接入用戶��、分支機構(gòu)����、合作伙伴等同總部的內(nèi)部網(wǎng)建立安全連接����,并保證數(shù)據(jù)的安全保密傳輸。數(shù)據(jù)流通過低成本的公網(wǎng)絡進行傳輸,這將極大地減少網(wǎng)絡組建的費用����,同時還簡化了網(wǎng)絡的設計和管理,也便于靈活接入���。
VPN中采用的關(guān)鍵技術(shù)主要包括隧道技術(shù)�����、用戶身份認證技術(shù)���、加密技術(shù)和訪問控制技術(shù)。VPN采用的技術(shù)中最為核心的技術(shù)就是隧道技術(shù)���,隧道技術(shù)是一種通過互聯(lián)網(wǎng)傳輸私有網(wǎng)絡數(shù)據(jù)的一種技術(shù)��。對所傳輸?shù)臄?shù)據(jù)在傳送之前被封裝在相應的U道協(xié)議里����,當?shù)竭_另一端時被解虬被封裝的數(shù)據(jù)在互聯(lián)網(wǎng)上傳送時所經(jīng)過的通道是一條虛擬的邏輯通道����。U道協(xié)議分為第2層U道協(xié)議和第3層U道協(xié)議及傳輸層安全U道協(xié)議���,第2層隧道協(xié)議主要有PPTP、L2TP等����,第3層隧道協(xié)議主要有GRE以及IPSec等,傳輸層安全協(xié)議主要有ssl����、tls等。L2TP和IPSec是目前應用最廣泛的兩種協(xié)議����。VPNU道主要有兩種S道,一種是端到端的隧道����,另一種是節(jié)點到節(jié)點的隧道。
3.計算機病毒防護技術(shù)
